Estoy desarrollando una aplicación basada en web. Quiero crearlo para que pueda ser adoptado por equipos dentro de corporaciones y grandes organizaciones que tienen estándares estrictos de SI.
Las organizaciones iniciales seleccionadas no están en industrias específicamente reguladas, pero deberán cumplir con las regulaciones de uso y protección de datos regionales.
¿Cuáles son los factores que debo planear?
Primero, haz lo que puedas enchufar. Acoplamiento suelto, buena forma, todo ese jazz que está en programmers.stackexchange.com . De esa manera, si alguien quiere cambiar el nombre de usuario / contraseña para la autenticación del dominio, puede venderlo como una característica fácil. De manera similar, al cambiar el registro de archivos de texto a syslog a bases de datos.
... y eso es todo. Mantenga a los usuarios no autorizados fuera y limite a los usuarios autorizados a sus funciones, registre el comportamiento y mantenga la integridad (específica de la aplicación, pero básicamente tenga cuidado con los cambios irreversibles). Todo en una auditoría realmente se reduce a esos comportamientos. Codifique con la idea de que lo registrará todo y usará la configuración para desactivar las cosas que no desea. Cree permisos con roles y concéntrese en la lógica empresarial de lo que los usuarios podrían hacer.
¿Puede UserA ver los precios de costo? ¿Pueden establecer precios de venta? Haz muchas preguntas de ti mismo así. Si su aplicación es flexible y completa en las áreas que mencioné, podrá cumplir con la mayoría de los estándares disponibles.
Creo que la pregunta es demasiado general para esperar una respuesta específica. Así que la responderé con una respuesta general. En general, OWASP es una buena fuente para la seguridad de aplicaciones web, especialmente su Guía de desarrollo .
Mi recomendación, independientemente de la industria y las regulaciones, piense en proteger su marca. Independientemente de la industria. Utilice la seguridad del buen sentido común en el manejo de datos. PCI y FISMA tienen controles técnicos sobre las aplicaciones web y, por supuesto, OWASP. En general, debe introducir las pruebas de aplicaciones web en su banco de trabajo de codificación antes del primer lanzamiento de su servicio web y probar de nuevo antes de cualquier nuevo impulso de código. Además, el concepto de Web Application Firewall es importante para la arquitectura de seguridad de la aplicación durante la producción. La seguridad de WhiteHat proporciona algunas pruebas en tiempo real de la aplicación trabajando en conjunto con el firewall de la aplicación para actualizar cualquier hallazgo con el concepto de "parche" virtual también.
Lea otras preguntas en las etiquetas web-application compliance